Condividi tramite

Scenario: Firewall di Azure - personalizzato

  • Articolo

Quando si usa rete WAN virtuale routing dell'hub virtuale, esistono alcuni scenari disponibili. In questo scenario, l'obiettivo è instradare direttamente il traffico tra reti virtuali, ma usare Firewall di Azure per i flussi di traffico da rete virtuale a Internet/ramo e da ramo a rete virtuale.

Progettazione

Per determinare il numero di tabelle di route necessarie, è possibile compilare una matrice di connettività, in cui ogni cella rappresenta se un'origine (riga) può comunicare con una destinazione (colonna). La matrice di connettività in questo scenario è semplice, ma è comunque coerente con altri scenari.

Matrice di connettività

Da Con: Reti virtuali Rami Internet
Reti virtuali Diretto AzFW AzFW
Rami AzFW Diretto Diretto

Nella tabella precedente "Direct" rappresenta la connettività diretta tra due connessioni senza il traffico che attraversa il Firewall di Azure in rete WAN virtuale e "AzFW" indica che il flusso passerà attraverso il Firewall di Azure. Poiché nella matrice sono presenti due modelli di connettività distinti, saranno necessarie due tabelle di route che verranno configurate come segue:

  • Reti virtuali:
    • Tabella di route associata: RT_VNet
    • Propagazione alle tabelle di route: RT_VNet
  • Rami:
    • Tabella di route associata: impostazione predefinita
    • Propagazione alle tabelle di route: impostazione predefinita

Nota

È possibile creare un'istanza di rete WAN virtuale separata con un singolo hub virtuale sicuro in ogni area e quindi connettere ogni rete WAN virtuale tra loro tramite VPN da sito a sito.

Per informazioni sul routing dell'hub virtuale, vedere Informazioni sul routing dell'hub virtuale.

Workflow

In questo scenario si vuole instradare il traffico attraverso il Firewall di Azure per il traffico da rete virtuale a Internet, da rete virtuale a ramo o da ramo a rete virtuale, ma si vuole passare direttamente al traffico da rete virtuale a rete virtuale. Se si usa Firewall di Azure Manager, le impostazioni di route vengono popolate automaticamente nella tabella di route predefinita. Il traffico privato si applica alla rete virtuale e ai rami, il traffico Internet si applica a 0.0.0.0/0.

Le connessioni VPN, ExpressRoute e VPN utente sono denominate collettivamente Rami e associate alla stessa tabella di route (predefinita). Tutte le connessioni VPN, ExpressRoute e VPN utente propagano le route allo stesso set di tabelle di route. Per configurare questo scenario, prendere in considerazione i passaggi seguenti:

  1. Creare una tabella di route personalizzata RT_VNet.

  2. Creare una route per attivare VNet-to-Internet e VNet-to-Branch: 0.0.0.0/0 con l'hop successivo che punta a Firewall di Azure. Nella sezione Propagazione si assicurerà che le reti virtuali siano selezionate per garantire route più specifiche, consentendo così il flusso di traffico diretto da rete virtuale a rete virtuale.

    • In Associazione: selezionare reti virtuali che implicano che le reti virtuali raggiungeranno la destinazione in base alle route di questa tabella di route.
    • In Propagazione: selezionare reti virtuali che implicano che le reti virtuali vengono propagate a questa tabella di route. In altre parole, le route più specifiche verranno propagate a questa tabella di route, assicurando in tal modo il flusso di traffico diretto tra la rete virtuale e la rete virtuale.

  3. Aggiungere una route statica aggregata per le reti virtuali nella tabella Route predefinita per attivare il flusso da ramo a rete virtuale tramite il Firewall di Azure.

    • Tenere presente che i rami sono associati e propagati alla tabella di route predefinita.
    • I rami non vengono propagati a RT_VNet tabella di route. Ciò garantisce il flusso del traffico da rete virtuale a ramo tramite il Firewall di Azure.

Ciò comporta le modifiche alla configurazione del routing, come illustrato nella figura 1.

Figura 1

Figura 1

Passaggi successivi